It's an old adage that no security measure is worth anything if an attacker has physical access to the machine, but things like heavy-duty disk encryption are supposed to at least slow things down. Sadly, that may not actually be the case, as a group of Princeton researchers has just published a paper detailing an exploit that requires little more than a spray duster and a screwdriver. Since the encryption key for systems like BitLocker and FileVault lives in RAM, all an attacker has to do to get it is cool the RAM modules with the air duster held upside down, yank the DIMM, and insert it into another machine, where it can then be read to access the key. Of course, this assumes that you've already typed in your password, but check the video after the break to see how long bits in RAM stay written -- even if you've turned off your computer, there's a chance the key can still be read. Looks like there's an actual benefit to MacBook Air's soldered-in RAM after all, eh?

Podem encontrar o vídeo no link:

Engadget (http://www.engadget.com/2008/02/21/cold-boot-disk-encryption-attack-is-shockingly-effective/)

inventam cada uma... geez...

E se a chave tiver no próprio disco encriptada?

O que eles dizem é que o software como está desenvolvido guarda sempre a palavra-passe na RAM.

Uma coisa é certa... para o ataque ser bem sucedido só pode ser depois do utilizador inserir a palavra-passe.

Não sei se é pelo facto de, por exemplo, o Bitlocker ser um "Full disk encryption" (http://en.wikipedia.org/wiki/Full_disk_encryption) e o único local onde podem armazenar a palavra-passe é na RAM...

Aparentemente é uma limitação no desenho do software ... mas comum entre eles!

Mas existe solução... é só soldar a memória e desactivar as portas USB!!! :rofl:

Não há razão nenhuma para ter que armazenar a senha. Simplesmente podia ser como nas antigas cifras à mão, em que podias usar qualquer frase / palavra para descodificar, mas apenas a correcta traria sentido à mensagem. Da mesma forma poderiam fazer o mesmo nos pcs... apenas a frase / palavra correcta traria sentido à informação encriptada.

Qualquer operação que executes no computador vai passar pela memória. A falha não está ao nível do software, mas sim pela capacidade dos módulos actuais de memória reterem a informação por um curto período. O que fazem é simplesmente remover os módulos e aceder ao seu conteúdo, tendo assim acesso à(s) chave(s) introduzida(s). É básico, a chave é sempre introduzida literalmente no teclado, sendo movida para a memória (não por software, mas pela BIOS automaticamente), logo é impossível contornar esta falha.

Executaram testes no Vista, no MAC OS X e em Linux, e em todos com sucesso. Tendo a chave de encriptação, podem a qualquer altura decifrar o conteúdo encriptado nos discos, independentemente do método ou software que os encriptou.

A solução básica é simplesmente forçar uma limpeza na memória sempre que a alimentação é interrompida (o que não deve ser viável pela ausência da energia, né?) ou então voltar a usar memória antiga, que era bem volátil e perdia os dados no segundo em que a alimentação era interrompida.

Ah... daí falarem de erro de concepção!